Image
11.12.2017 0 Comments

Cloud a bezpečnosť: Treba sa báť?

V dnešnej dobe, keď sú cloudové riešenia „v móde“, stále viac a viac dát a citlivých (osobných alebo ­firemných) údajov ukladáme   „niekam“ do cloudu. Je preto logické, že s týmto trendom sa do popredia dostáva aj otázka bezpečnosti dát. Ako to teda je? Máme sa o svoje dáta obávať alebo môžeme cloudovým službám veriť a pokojne spávať? Hneď na úvod odpoviem na otázku. Áno, dovolím si tvrdiť, že dáta sú v cloude v bezpečí. Má to však niekoľko ALE. Ako sa teda dopracovať k pokojnému spánku a na čo si pri výbere cloudu dať pozor?

Aplikačná bezpečnosť vs.bezpečnosť cloudu

Veľmi dôležité je, na čo budete cloud využívať, resp. aké aplikácie budete na ňom prevádzkovať. Väčšina firiem využíva model, keď si cloud nakúpi, aby pokryla potreby základnej IT infraštruktúry, serverových licencií a podobne. Následne do takéhoto prostredia nasadzuje vlastné alebo na mieru vytvorené aplikácie. Darmo bude samo úložisko skvelo zabezpečené, keď váš podnikový intranet naprogramovaný na mieru bude plný základných bezpečnostných chýb, a teda ľahko napadnuteľný. V prípade, že si cloud kupujete hlavne ako infraštruktúru alebo v ňom nasadíte nejaké ­aplikácie, nezabudnite na bezpečnosť daných aplikácií. Pred presunom jednotlivých komponentov vášho IT portfólia je dôležité zamerať sa nielen na to, či vaše používané aplikácie v tomto prostredí budú fungovať, ale aj na to, či sú dostatočne zabezpečené. Presun do cloudového prostredia môže byť často aj dôvod zmeny aplikácie, jej výraznej aktualizácie alebo prechodu na inú generáciu.

Certifikácie a penetračné testy

Spoločnosti, ktoré poskytujú cloudové služby, investujú do bezpečnosti veľké finančné prostriedky. Je to logické, keďže ide o ich „core business“. Veľký bezpečnostný incident, ktorý by ohrozil dáta klientov, môže mať pre takúto spoločnosť priam likvidačné následky. Určite sa teda pri výbere cloudu opýtajte na automatické alebo externé penetračné testy (často známe aj ako ethical hacking) a na prípadné certifikácie z takýchto testov. Štandardne totiž dostane spoločnosť po externom teste report o ich výsledkoch. Zvyčajne existujú dve verzie takéhoto reportu: jedna interná s detailným opisom prípadných nájdených bezpečnostných hrozieb a jedna zjednodušená. Je to akýsi management summary. Slúži na oznámenie zákazníkom a má potvrdiť to, že riešenie je bezpečné. V prípade, že takýto zjednodušený report neexistuje, mali by ste mať možnosť aspoň nahliadnuť do detailných reportov, o ktoré sa partner logicky s vami nemôže podeliť. Dobrým dôkazom bezpečnosti bývajú aj „staré dobré“ certifikácie ISO. Ak cloudová spoločnosť vlastní napríklad certifikát ISO 27001 pre cloudové služby, je to určite známka toho, že táto firma sa bezpečnosťou zaoberá. Ďalší príklad je členstvo v rôznych organizáciách, špecifických pre cloudových poskytovateľov, z ktorých najznámejšia je asi Cloud Security Alliance – CSA (https://cloudsecurityalliance.org/).

Ak váš partner ničím takýmto nedisponuje, je zrejme vhodné sa ešte poobzerať na trhu.

Zmluva

Zmluva je, samozrejme, dôležitá súčasť celkovej bezpečnosti aj cloudového riešenia.  Hlavne v prípade veľkých cloudových riešení od nadnárodných korporácií je dôležité jej rozumieť a neodbiť ju jedným kliknutím na tlačidlo súhlasu. Treba si tiež uvedomiť, že prenos dát do cloudu neznamená, že automaticky na cloudového poskytovateľa prenesiete niektoré zákonné povinnosti, napríklad v súvislosti s ochranou osobných údajov. Cloudový poskytovateľ zvyčajne nie je spracovateľom osobných údajov z pohľadu zákona, poskytuje vám  „len“ prostredie, na ktorom ich vy spracúvate, a teda spracovateľom ostávate vy. Takýchto príkladov sa dá nájsť niekoľko, a preto len zopakujem - zmluvu rozhodne nezanedbajte.

Cloud nie je budúcnosť. Je to súčasnosť. A neprejsť so svojimi dátami do cloudu znamená stagnáciu. Preto sa prestaňte obávať. Stačí si len jednoduchým spôsobom overiť svojho budúceho partnera v podnikaní a vyhnete sa akýmkoľvek problémom.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

O elektroodpad sa najefektívnejšie postarajú sami výrobcovia

09.05.2018 10:37

Výrobcom elektrozariadení ukladá legislatíva množstvo povinností. V prvom rade je to zabezpečenie zberu, zhodnotenia a recyklácie elektroodpadu v presne stanovených objemoch. Väčšina firiem preto využ ...

ITPro

Dochádzkový systém TULIP

09.05.2018 10:33

Dochádzkový systém TULIP spolu s účtovným systémom je vďaka škálovateľnej modulárnej koncepcii vhodný pre firmy všetkých veľkostí, počnúc pobočkami globálnych firiem až po startupy. Z technologického ...

ITPro

Chceme rásť a ja verím, že budem pri tom

09.05.2018 10:13

Ako sa spoločnosti SOFTIP v uplynulom roku darilo a čo nové ju čaká v oblasti riešení ERP pre malé a stredné firmy, na to sme sa opýtali člena jej predstavenstva Radovana Bálenta. PCR: Aký bol rok ...

Žiadne komentáre

Vyhľadávanie

AKY OTEC

Najnovšie videá

ATOS_05_262


PC forum button